Pētnieku komanda no Amsterdamas Brīvās universitātes, Šveices augstākās tehniskās skolas Cīrihē un Qualcomm veica pētījumu par aizsardzības pret Uzbrukumi RowHammer izmanto DDR4 atmiņas mikroshēmās, kas ļauj mainīt dinamiskās brīvpiekļuves atmiņas (DRAM) atsevišķu bitu saturu.
Rezultāti sagādāja vilšanos kā DDR4 joprojām ir neaizsargāti (CVE-2020-10.255) pret RowHammer, kā šis trūkums ļauj sagrozīt bitu saturu individuālā atmiņa cikliski nolasot datus no kaimiņu atmiņas šūnām.
Tā kā DRAM ir divdimensiju šūnu masīvs, no kuriem katrs sastāv no kondensatora un tranzistora, viena un tā paša atmiņas laukuma nepārtraukta nolasīšana noved pie sprieguma svārstībām un anomālijām, izraisot nelielu kaimiņu šūnu lādiņa zudumu.
Ja lasīšanas intensitāte ir pietiekami liela, šūna var zaudēt pietiekami lielu lādiņa daudzumu un nākamajam reģenerācijas ciklam nebūs laika atjaunot sākotnējo stāvokli, kas novedīs pie šūnā saglabāto datu vērtības izmaiņām .
Lai bloķētu šo efektu, mūsdienu DDR4 mikroshēmas izmanto TRR tehnoloģiju (Target Row Refresh), kas paredzēts, lai novērstu šūnu deformāciju RowHammer uzbrukuma laikā.
Problēma ir tā TRR ieviešanai nav vienotas pieejas un katrs CPU un atmiņas ražotājs interpretē TRR savā veidā, izmantojot savas aizsardzības iespējas un neatklājot ieviešanas detaļas.
Izpētot metodes, kuras ražotāji izmantoja, lai bloķētu RowHammer, bija viegli atrast aizsardzības veidus.
Pārbaudes laikā izrādījās, ka princips "drošība ar neskaidrību", ko ražotāji izmanto TRR ieviešanas laikā, palīdz aizsargāt tikai īpašos gadījumos, aptverot tipiskus uzbrukumus, kas vienā vai divās blakus esošās rindās manipulē ar šūnu slodzes izmaiņām.
Pētnieku izstrādātā lietderība ļauj mums pārbaudīt mikroshēmu jutīgumu uz daudzpusējām RowHammer uzbrukuma iespējām, kurās tiek mēģināts vienlaikus ietekmēt vairāku atmiņas šūnu rindu ielādi.
Šādi uzbrukumi var apiet TRR aizsardzību ieviesa daži ražotāji, un tas noved pie atmiņas bitu izkropļojumiem pat jaunākos datoros ar DDR4 atmiņu.
No 42 pētītajiem DIMM 13 bija neaizsargāti uz nestandarta RowHammer uzbrukuma iespējām, neskatoties uz apgalvoto aizsardzību. SK Hynix, Micron un Samsung izlaiž problemātiskus moduļus, kuru produkti aizņem 95% no DRAM tirgus.
Papildus DDR4 Tika pētītas arī mobilajās ierīcēs izmantotās LPDDR4 mikroshēmas, tas viņi arī bija jūtīgi uzlabotas RowHammer uzbrukuma iespējas. Jo īpaši tika ietekmēta viedtālruņos Google Pixel, Google Pixel 3, LG G7, OnePlus 7 un Samsung Galaxy S10 izmantotā atmiņa.
Pētnieki varēja reproducēt dažādas ekspluatācijas metodes DDR4 mikroshēmās traucējošs.
RowHammer izmantošana PTE (lapu tabulas ieraksti) ir nepieciešama, lai iegūtu uzbrukuma kodola privilēģijas 2.3 sekundes līdz trīs stundas un piecpadsmit sekundes, atkarībā no pārbaudāmajām mikroshēmām.
Atmiņā glabātas publiskās atslēgas RSA-2048 bojājumu uzbrukums ilga no 74.6 sekundēm līdz 39 minūtēm un 28 sekundēm. Uzbrukums, lai izvairītos no autorizācijas, modificējot sudo procesa atmiņu, ilga 54 minūtes un 16 sekundes.
Lai pārbaudītu DDR4 atmiņas mikroshēmas lieto lietotāji, TRRespass utilīta ir izlaista. Veiksmīgam uzbrukumam ir nepieciešama informācija par atmiņas kontrolierī izmantoto fizisko adrešu izkārtojumu attiecībā pret bankām un atmiņas šūnu rindām.
Lai noteiktu izkārtojumu, tika tālāk attīstīta drāmas lietderība, kas prasa sākt ar root tiesībām. Tuvākajā nākotnē ir paredzēts arī publicēt lietojumprogrammu viedtālruņu atmiņas pārbaudei.
Intel un AMD kompānijas iesaka aizsargāt atmiņas izmantošanu ar kļūdu labošanu (ECC), atmiņas kontrollerus ar MAC atbalstu un piemērot lielāku atsvaidzināšanas ātrumu.
Fuente: https://www.vusec.net